WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно функция getRealIpAddr() в objects/functions.php доверяет управляемым пользователем заголовкам HTTP для определения IP-адреса клиента. Злоумышленник может подделать свой IP-адрес, отправив поддельные заголовки, минуя любые средства контроля доступа на основе IP или ведение журнала аудита.
Коммит 1a1df6a9377e5cc67d1d0ac8ef571f7abbffbc6c содержит исправление.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `getRealIpAddr()` function in `objects/functions.php` trusts user-controlled HTTP headers to determine the client's IP address. An attacker can spoof their IP address by sending forged headers, bypassing any IP-based access controls or audit logging. Commit 1a1df6a9377e5cc67d1d0ac8ef571f7abbffbc6c contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|